Импорт событий из базы Open Single Management Platform

В KUMA можно получать события из SQL-базы Open Single Management Platform. Получение событий производится с помощью коллектора, в котором используются следующие ресурсы:

• Предустановленный коннектор [OOTB] KSC MSSQL, [OOTB] KSC MySQL или [OOTB] KSC PostgreSQL.
• Предустановленный нормализатор [OOTB] KSC from SQL.

Настройка импорта событий из Open Single Management Platform состоит из следующих шагов:

1. Создание копии предустановленного коннектора.

   Параметры предустановленного коннектора недоступны для редактирования, поэтому для настройки параметров подключения к серверу базы данных требуется создать копию предустановленного коннектора.

2. Создание коллектора:
   • В веб-интерфейсе.
   • На сервере.

Чтобы настроить импорт событий из Open Single Management Platform:

1. Создайте копию предустановленного коннектора, соответствующего типу базы данных Open Single Management Platform:
   1. В веб-интерфейсе KUMA в разделе Ресурсы → Коннекторы найдите в структуре папок нужный предустановленный коннектор, установите флажок рядом с этим коннектором и нажмите Дублировать.
   2. В открывшемся окне Создание коннектора на вкладке Основные параметры в поле Запрос по умолчанию при необходимости замените имя базы данных KAV на имя используемой вами базы данных Open Single Management Platform.

      Пример запроса к SQL-базе Open Single Management Platform

      SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,

      ev.product_name AS product_name, ev.product_version AS product_version,

      ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,

      CASE

      WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )

      ELSE ev.rise_time

      END

      AS endTime,

      CASE

      WHEN ev.registration_time is not NULL

      THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )

      ELSE ev.registration_time

      END

      AS kscRegistrationTime,

      cast(ev.par7 as varchar(4000)) as sourceUserName,

      hs.wstrWinName as dHost,

      hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,

      CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

      CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

      CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +

      CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,

      serv.wstrWinDomain as kscNtDomain,

      CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

      CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

      CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +

      CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,

      CASE

      WHEN virus.tmVirusFoundTime is not NULL

      THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )

      ELSE ev.registration_time

      END

      AS virusTime,

      virus.wstrObject As filePath,

      virus.wstrVirusName as virusName,

      virus.result_ev as result

      FROM KAV.dbo.ev_event as ev

      LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId

      INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1

      Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus

      where registration_time >= DATEADD(minute, -191, GetDate())

   3. Установите курсор в поле URL и в раскрывшемся списке в строке используемого секрета нажмите на значок .
   4. В открывшемся окне Секрет в поле URL укажите адрес для подключения к серверу в следующем формате:

      sqlserver://user:password@kscdb.example.com:1433/database

      где:

      • user – учетная запись с правами public и db_datareader к нужной базе данных;
      • password – пароль учетной записи;
      • kscdb.example.com:1433 – адрес и порт сервера базы данных;
      • database – название базы данных Open Single Management Platform. По умолчанию – KAV.

      Нажмите Сохранить.

   5. В окне Создание коннектора в разделе Подключение в поле Запрос при необходимости замените имя базы данных KAV на имя используемой вами базы данных Open Single Management Platform.

      Это действие нужно выполнять, если вы планируете использовать столбец идентификатора, к которому относится запрос.

      Нажмите Сохранить.

2. Установите коллектор в веб-интерфейсе:
   1. Запустите мастер установки коллектора одним из следующих способов:
      • В веб-интерфейсе Open Single Management Platform в разделе Ресурсы нажмите Подключить источник.
      • В веб-интерфейсе Open Single Management Platform в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
   2. На шаге 1 Подключение источников в мастере установки укажите название коллектора и выберите тенант.
   3. На шаге 2 Транспорт в мастере установки выберите созданную на шаге 1 копию коннектора.
   4. На шаге 3 Парсинг событий в мастере установки на вкладке Схемы парсинга нажмите Добавить парсинг событий.
   5. В открывшемся окне Основной парсинг событий на вкладке Схема нормализации в раскрывающемся списке Нормализатор выберите [OOTB] KSC from SQL и нажмите OK.
   6. При необходимости укажите остальные параметры в соответствии с вашими требованиями к коллектору. Для импорта событий настройка параметров на остальных шагах мастера установки не обязательна.
   7. На шаге 8 Проверка параметров в мастере установки нажмите Сохранить и создать сервис.

      В нижней части окна отобразится команда, которая понадобится для установки коллектора на сервере. Скопируйте эту команду.

   8. Закройте мастер установки коллектора, нажав Сохранить коллектор.
3. Установите коллектор на сервере.

   Для этого на сервере, предназначенном для получения событий Open Single Management Platform, выполните команду, скопированную после создания коллектора в веб-интерфейсе.

В результате коллектор будет установлен и сможет принимать события из SQL-базы Open Single Management Platform.

Вы можете просмотреть события Open Single Management Platform в разделе веб-интерфейса События.